Информация по безопасности / 2020 / Информация о безопасности -- DSA-4724-1 webkit2gtk

Рекомендация Debian по безопасности

DSA-4724-1 webkit2gtk -- обновление безопасности

Дата сообщения:

15.07.2020

Затронутые пакеты:

webkit2gtk

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2020-9802, CVE-2020-9803, CVE-2020-9805, CVE-2020-9806, CVE-2020-9807, CVE-2020-9843, CVE-2020-9850, CVE-2020-13753.

Более подробная информация:

В веб-движке webkit2gtk были обнаружены следующие уязвимости:

• CVE-2020-9802

  Сэмуэл Гросс обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2020-9803

  Вэнь Сюй обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2020-9805

  Анонимный исследователь обнаружил, что обработка специально сформированного веб-содержимого может приводить к универсальному межсайтовому скриптингу.

• CVE-2020-9806

  Вэнь Сюй обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2020-9807

  Вэнь Сюй обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2020-9843

  Райан Пикрен обнаружил, что обработка специально сформированного веб-содержимого может приводить к межсайтовому скриптингу.

• CVE-2020-9850

  @jinmo123, @setuid0x0_ и @insu_yun_en обнаружили, что удалённый злоумышленник может вызвать выполнение произвольного кода.

• CVE-2020-13753

  Милан Црга обнаружил, что злоумышленник может выполнять команды за пределами песочницы bubblewrap.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.28.3-2~deb10u1.

Рекомендуется обновить пакеты webkit2gtk.

С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/webkit2gtk